拓扑如下图所示:
PC1、PC2 属于同网段IP地址,分别直连S5560X-EI交换机G1/0/1和G1/0/2接口。
PC1、PC2的网关为S5560X-EI Vlan-interface 12 接口192.168.1.1地址。
初始情况下,PC1与PC2 通信正常。
后续在S5560X-EI交换机上部署本地代理ARP+ARP Detection+端口隔离 功能后,PC1 与 PC2 之间无法通信。
新增“本地代理ARP+ARP Detection+端口隔离”功能后交换机关键配置如下:
#
vlan 12
arp detection enable //使能ARP Detection功能
#
interface vlan 12
ip address 192.168.1.1 255.255.255.0
local-proxy-arp enable //使能代理ARP功能
#
interface GigabitEthernet 1/0/1
port access vlan 12
port-isolate enable //使能端口隔离功能
#
interface GigabitEthernet 1/0/2
port access vlan 12
port-isolate enable //使能端口隔离功能
#
当S5560X-EI交换机网关Vlan-interface 12接口下,使能本地代理ARP功能(local-proxy-arp enable )后:
后续PC1 与 PC2之间业务报文转发时,目的MAC=zzzz-zzzz-zzzz。
S5560X-EI收到业务报文后,由于目的MAC为交换机本地MAC地址,因此不进行芯片硬件转发,而是CPU软件转发,PC1 与 PC2业务报文可正常通信(业务报文代理转发)。
在上述情况下,S5560X-EI 再使能 ARP Detection+端口隔离功能后:
PC2访问PC1时,ARP学习情况与上面描述一致,不再重复介绍。
后续PC1 发送业务报文给PC2时,目的MAC=yyyy-yyyy-yyyy。
S5560X-EI 收到报文后,由于目的MAC地址,非交换机本地MAC地址,因此芯片硬件转发。
但是,由于G1/0/1 和G1/0/2两个接口(芯片硬件)使能了端口隔离功能,因此导致业务报文无法通信。
通过分析,我们了解到导致业务转发不通的根本原因是:
报文硬件芯片转发时(报文目的MAC= yyyy-yyyy-yyyy),交换机芯片硬件上,端口隔离策略导致。
因此可通过以下两种方式解决:
1、取消端口隔离策略;
2、让业务报文不通过硬件芯片转发,全部通过软件CPU转发。
解决方法一:
取消端口隔离功能,关键配置调整为:
#
vlan 12
arp detection enable //使能ARP Detection功能
#
interface vlan 12
ip address 192.168.1.1 255.255.255.0
local-proxy-arp enable //使能代理ARP功能
#
interface GigabitEthernet 1/0/1
port access vlan 12
#
interface GigabitEthernet 1/0/2
port access vlan 12
#
解决方法二:
使能ARP强制转发功能arp
restricted-forwarding enable,关键配置调整为:
#
vlan 12
arp detection enable
arp restricted-forwarding enable //增加ARP强制转发功能
#
interface vlan 12
ip address 192.168.1.1 255.255.255.0
local-proxy-arp enable
#
interface GigabitEthernet 1/0/1
port access vlan 12
port-isolate enable
#
interface GigabitEthernet 1/0/2
port access vlan 12
port-isolate enable
#
增加ARP强制转发功能后,PC1与PC2要互访时:
后续PC1 与 PC2之间业务报文转发时,目的MAC=zzzz-zzzz-zzzz。
S5560X-EI收到业务报文后,由于目的MAC为交换机本地MAC地址
因此不进行芯片硬件转发,而是CPU软件转发,PC1 与 PC2业务报文可正常通信(业务报文代理转发)。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作